抓包实验_精品文档

wireshark抓包实验报告Wireshark抓包实验报告1. 实验简介本次实验旨在通过使用Wireshark软件进行网络抓包，深入了解网络通信过程中的数据传输和协议交互。

通过分析抓包数据，我们可以了解网络流量的组成、协议的运作方式以及网络安全的相关问题。

2. 实验准备在进行实验之前，我们需要准备一台运行Wireshark软件的计算机，并连接到一个网络环境中。

Wireshark是一款开源的网络协议分析工具，可以在各种操作系统上运行。

安装并配置好Wireshark后，我们就可以开始进行抓包实验了。

3. 实验步骤3.1 启动Wireshark打开Wireshark软件，选择需要抓包的网络接口。

Wireshark会监听该接口上的所有网络流量，并将其显示在界面上。

3.2 开始抓包点击“开始”按钮，Wireshark开始抓取网络数据包。

此时，我们可以看到界面上实时显示的数据包信息，包括源地址、目标地址、协议类型等。

3.3 过滤抓包数据由于网络流量非常庞大，我们可以使用过滤器来筛选出我们感兴趣的数据包。

Wireshark提供了丰富的过滤器选项，可以根据协议、源地址、目标地址等条件进行过滤。

3.4 分析抓包数据选中某个数据包后，Wireshark会显示其详细信息，包括协议分层、数据字段等。

通过分析这些信息，我们可以了解数据包的结构和内容，进一步了解网络通信的细节。

4. 实验结果与讨论在实验过程中，我们抓取了一段时间内的网络流量，并进行了分析。

通过对抓包数据的观察和解读，我们得出了以下几点结果和讨论：4.1 协议分层在抓包数据中，我们可以清晰地看到各种协议的分层结构。

从物理层到应用层，每个协议都承担着不同的功能和责任。

通过分析协议分层，我们可以了解协议之间的关系，以及它们在网络通信中的作用。

4.2 数据传输过程通过分析抓包数据，我们可以追踪数据在网络中的传输过程。

我们可以看到数据包从源地址发送到目标地址的路径，了解中间经过的路由器和交换机等设备。

Wireshark抓包实验⼀、实验名称利⽤Wireshark抓包并分析 TCP/IP 协议⼆、实验⽬的通过实验，了解和掌握报⽂捕获⼯具 Wireshark 的使⽤⽅法和基本特点，使⽤ Wireshark 捕获⽹络报⽂，并分析各种⽹络协议的报⽂格式和⼯作过程。

三、实验内容使⽤ Wireshark 捕获⽹络报⽂，分析以太⽹、ARP、IP、TCP、DNS 和 HTTP 等协议的报⽂格式和⼯作过程。

四、实验步骤DNS分析在 cmd 下运⾏：nslookup –type=Anslookup –type=NS nslookup –type=MX nslookup –type=A 然后⽤Wireshark捕获报⽂并分析DNS和UDP协议的报⽂格式和⼯作过程。

ICMP分析在cmd下运⾏pingtracert然后⽤Wireshark捕获报⽂并分析 ICMP 报⽂格式和⼯作过程。

TCP/IP分析a) 在浏览器输⼊ ⽹址后，然后⽤ Wireshark 捕获报⽂并分析HTTP，TCP，IP，ARP和以太⽹等协议的报⽂格式和⼯作过程。

b) 运⾏各⾃编写的 UDP 和 TCP 客户/服务器程序并进⾏抓包分析。

五、实验结果及分析（⼀）DNS分析通过ipconfig命令查看IP、⽹关地址IP地址192.168.43.217默认⽹关192.168.43.1DNS报⽂格式DNS分析⼤体相同，就选择其⼀进⾏分析1.在cmd下运⾏nslookup -type=A ⾮权威应答：110.53.188.133 113.247.230.248 202.197.9.133应答服务器地址为192.168.43.1，为默认⽹关地址利⽤wireshark进⾏抓包分析，筛选DNS报⽂，本次运⾏有4个DNS报⽂，可以看出对应请求包和响应包的源IP与⽬的IP刚好相反。

Query这是⼀个请求报⽂。

⾸先主机发送⼀个 DNS 报⽂。

DNS 采⽤ UDP 协议⽀持。

试验二、网络抓包试验试验目的：深入理解TCP/IP协议试验内容：使用网络嗅探器，抓取网络上的数据包，进行分析试验要求：分别抓取ARP包，ICMP包，IP包，TCP包，UDP包，HTTP包，DNS包等，分析其各层的头部。

试验步骤：1.打开抓包软件，在capture菜单下选择interfaces，弹出如图窗口，点击capture开始抓包，如图2.点击stop停止抓包，结果如图3.依次分析各种包的头部。

1)ARP包ARP包包括frame、Ethernet、address resolution protocol三部分内容，具体如下：上图显示的是该ARP包的目的地址和源地址。

上图显示的是该ARP包目的ip地址和Mac地址。

2)IP包Ip包由frame、Ethernet、Internet protocol三部分组成。

3)TCP包TCP包由frame、Ethernet、Internet protocol、transmission control protocol四部分组成。

4)UDP包Udp包由frame、Ethernet、Internet protocol、user datagram protocol四部分组成。

5)HTTP包HTTP包由frame、Ethernet、Internet protocol、transmission control protocol、hypertext transfer protocol、line-based text data六部分组成。

6)DNS包Dns包由frame、Ethernet、Internet protocol、user datagram protocol、domain name system五部分组成。

实验5-2 IPv4协议抓包实践一、实验目的（1）理解IP数据包格式（2）掌握通过抓包软件抓取IP数据包并进行分析的办法。

二、相关理论网络层使用的协议包括IP、ICMP、ARP等。

其中IP数据包占据网络流量的大部分。

IP 数据包分为“报头区”和“数据区”两部分，其格式如下：0 7 15 23 31图1 IPv4数据报格式格式中主要字段含义如下：版本：长度为4位。

取值一般为0100（Ipv4）或0110（Ipv6）。

报头长度：长度为4位。

指明“报头区”的长度，以32bit为单位。

在“报头区”中只有“选项+填充”字段的长度是可变的，其他字段的长度都是固定的。

例如：某IP包的报头长度值为0111，表示该IP包的报头长度为7*32bit=28byte，可以计算出该IP包“选项+填充”字段的长度为（7-5）*32bit=8byte。

总长度：长度为16位。

表示包括“报头区”+“数据区”在内的IP包的总长度，以字节（8bit）为单位。

生存周期：长度为8位。

该字段设置了该IP包可以经过的最多路由器数, 一旦经过一个处理它的路由器,它的值就减去1，当该字段的值为0时,数据报就被丢弃,并发送ICMP消息通知源主机｡这种机制可以防止网络出现环路时IP包被不断发送。

初始值由源主机设置（通常为32或64）。

协议：长度为8位，用于指定该IP包的上层协议，常见取值有6（TCP）、17（UDP）、1（ICMP）。

源IP、目的IP：长度为32位。

用于指定发送者和所期望的接收者的IP地址,在网络传输的过程中基值不会发生变化。

三、实验内容（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。

四、实验步骤（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；（2）打开浏览器，输入，网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“应用”进行过滤，如图5-39所示。

实验ARP协议分析实验一、实验目的●理解IP地址与MAC地址的对应关系；●理解ARP协议报文格式；●理解ARP协议的工作原理与通信过程。

二、实验内容●ARP请求报文与应答报文格式；●同一子网内两台机器间的ARP协议的工作过程；●不同子网上的两台机器间的ARP协议工作过程。

三、实验原理、方法和手段（1） ARP请求报文与应答报文格式操作类型：1—ARP 请求；2—ARP 响应；3-- RARP请求；4—RARP 响应；四、实验条件（1）报文捕获工具Etherreal协议分析软件；（2）应用协议环境每台PC机（安装Windows 7操作系统）处于同一个LAN五、实验步骤同一子网内两台机器间的ARP协议的工作过程●主机A（IP地址为A.A.A.A）与主机B（IP地址为B.B.B.B）属于同一个子网；●在主机A上的DOS命令提示符下运行arp –d命令，清空主机A的ARP高速缓存；●在主机A上的DOS命令提示符下运行arp –a命令，检查主机A的ARP高速缓存区，此时ARP缓存区应为空；●在主机A上的DOS命令提示符下运行：Ping B.B.B.B ，同时用抓包工具捕获A与B之间的数据通信报文，并做如下工作：——在捕获的报文中找出主机A和主机B之间通讯的ARP询问请求报文和应答报文；——分析ARP请求及应答报文的各字段，包括源、目的以太网地址、源、目的IP地址、数据报文类型。

●在主机A上的DOS命令提示符下运行arp–a命令，检查ARP高速缓存中的内容是否发生变化，分析原因。

六、实验结果分析1.Ping请求方ARP包分析：ff ff ff ff ff ff (目的地址)54 42 49 f7 0e 51(发送地址)08 06（协议类型 0x0806 ARP）00 01（硬件类型 Ethernet (1)）08 00 (上层协议类型 0x0800 IP)06 （硬件地址长度 6字节）04 （协议地址长度 4字节）00 01 （操作类型 0x0001 ARP请求）54 42 49 f7 0e 51 （发送方硬件地址）0a 02 3e 5e （发送方IP地址 10.2.62.94）00 00 00 00 00 00 （接收方硬件地址）0a 02 3e 61 （接收方IP地址 10.2.62,97）2.Ping接收方ARP包分析：54 42 49 f7 0e 51 (目的地址)48 5b 39 2f 23 8b(发送地址)08 06（协议类型 0x0806 ARP）00 01（硬件类型 Ethernet (1)）08 00 (上层协议类型0x0800 IP)06 （硬件地址长度 6字节）04 （协议地址长度 4字节）00 02 （操作类型 0x0002 ARP回复）48 5b 39 2f 23 8b （发送方硬件地址）0a 02 3e 61 （发送方IP地址 10.2.62.97）54 42 49 f7 0e 51（接收方硬件地址）0a 02 3e 5e （接收方IP地址 10.2.62,94）3.在主机A上的DOS命令提示符下运行arp–a命令，检查ARP高速缓存中的内容是否发生变化，分析原因Ping前：Ping后：因为，ping过后ARP协议将IP地址转化为mac地址存入缓存七、思考题结合实验过程中的实验结果，回答下列问题：（1）观察实验过程中捕获网络上的多个ARP请求帧，观察这些帧的以太网目的地址是否相同，分析其原因。

Sniffer抓包试验试验目的：1、练习Sniffer抓包工具的使用2、使用Sniffer抓包工具学习TCP/IP协议试验拓扑：Sniffer工作站（物理机）FTP服务器（虚拟机）注意：首先要规划好工作站和服务器的IP。

确保工作站和服务器之间的网络连通性步骤一：先搭建（在Windows2003虚拟机中）安装FTP服务器组件1、在虚拟机上挂载Windows2003系统光盘注意：双击打开光盘2、启动虚拟机后，在运行输入“appwiz.cpl”。

（该命令可以直接打开“添加删除程序对话框”）3、选中“添加/删除Windows组件”4、选中“应用程序服务器”，再打开“详细信息”5、如下操作。

打开“详细信息”6、选中如下组件，点击确定FTP服务器组件安装完成！步骤二：搭建FTP服务器1、在虚拟机的E盘建立文件夹“资料”，并在该文件夹下建立文件“FTP”（测试使用）2、打开“IIS管理器”3、右击打开“属性”4、设置FTP服务器的IP（IP为自己服务器的IP哦）4、设置FTP服务器的主目录（使用刚才建立的目录“资料”）5、取消“允许匿名连接”5、建立本地账号(使用学员的名字定义)。

用来访问FTP服务器6、测试FTP服务器测试成功！！步骤2：设置抓包策略1、打开工作站上的Sniffer抓包工具3、定义要抓包的IP地址对下面的“位置1”“位置2”一定要设置自己所使用的客户端和服务端得IP哦4、定义要抓取的数据包的类型：IP----TCP------FTP5、单击开始按钮，开始抓包6、停止并显示抓包容第一次握手：第二次握手：第三次握手：至此，三次握手结束，开始传输数据！TCP断开需要四次握手：呵呵！如果你的眼睛是贼亮的话，还能抓到登录用户的用户名和密码。

Wireshark抓包工具计算机网络实验实验一 Wireshark使用一、实验目的1、熟悉并掌握Wireshark的基本使用；2、了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、预备知识要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。

Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从下载。

运行Wireshark程序时，其图形用户界面如图2所示。

最初，各窗口中并无数据显示。

Wireshark的界面主要有五个组成部分：命令和菜单协议筛选框捕获分组列表选定分组首部明细分组内容左：十六进制右：ASCII码图1命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。

协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。

捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。

单击某一列的列名，可以使分组列表按指定列排序。

其中，协议类型是发送或接收分组的最高层协议的类型。

分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的首部详细信息。

包括该分组的各个层次的首部信息，需要查看哪层信息，双击对应层次或单击该层最前面的“＋”即可。

分组内容窗口（packet content）：分别以十六进制（左）和ASCII码（右）两种格式显示被捕获帧的完整内容。

计算机网络管理姓名：姚建国班级：网络工程学号：080510101一．实验目的學會使用snmpb分析mib tree，使用wireshark抓包以及分析該包。

根據snmp 協定，分析抓包軟體抓出的結果。

二．实验内容1. 使用Snmp1）安装snmpb2）实验步骤3）点击mib tree分析各结点2.使用wireshark抓包1)安装WireShark，中间会提示安装WinPcap,一切都是默认。

2)实验前先关掉联网的软件，防止产生一些不必要的流量，以利于实验分析。

3)打开WireShark,选择"Capture>>Interfaces",选择自己的网卡。

选择"Start"开始监控流量。

UDP协议分析,选择一个包单击，结果如下抓包过程中发现TCP组播、HTTP组播等。

A.组播分析.Ethernet II帧,Src: RealtekS_46:f2:4f (00:e0:4c:46:f2:4f), Dst:IPv4mcast_66:74:6e (01:00:5e:66:74:6e)。

源地址RealtekS，目的地址IPv4mcast_66:74:6e。

Internet Protocol(IP数据包),User Datagram Protocol(UDP数据包), Src Port: irisa (11000), Dst Port: irisa (11000)。

B.ARP广播。

Ethernet II帧,Src: FujianSt_f8:ec:eb (00:d0:f8:f8:ec:eb)[锐捷网络的交换机，这里显示"福建实达网络"], Dst: Broadcast (ff:ff:ff:ff:ff:ff)Address Resolution Protocol (request)(ARP数据包)Sender MAC address: FujianSt_f8:ec:eb (00:d0:f8:f8:ec:eb)Sender IP address: 10.1.10.254 (10.1.10.254)Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)Target IP address: 10.1.10.135 (10.1.10.135)ARP是一个三层的协议，直接跑在Frame之上4）再次启动WireShark，打开网页[url][/url]，抓包。

实验一Wireshark报文捕捉实验一、实验目的1.掌握Wireshark抓包软件的基本使用方法；2.使用Wireshark抓取Telnet的数据报，分析IP头结构；3.使用Wireshark抓取Telnet的数据报，分析TCP头的结构、分析TCP的“三次握手”和“四次挥手”的过程。

二、实验环境1.运行Windows的PC机；2.Wireshark软件；3.Winpcap软件。

三、实验原理1.IP头结构；IP包头长度（Header Length）：长度4比特.这个字段的作用是为了描述IP包头的长度,因为在IP包头中有变长的可选部分.该部分占4个bit位，单位为32bit（4个字节），即本区域值= IP头部长度（单位为bit）/（8*4)，因此，一个IP包头的长度最长为“1111"，即15*4＝60个字节。

IP包头最小长度为20字节。

2.TCP的“三次握手”和“四次挥手”的过程。

TCP三次握手所谓三次握手(Three—way Handshake），是指建立一个TCP连接时，需要客户端和服务器总共发送3个包。

三次握手的目的是连接服务器指定端口，建立TCP连接，并同步连接双方的序列号和确认号并交换TCP 窗口大小信息.在socket编程中，客户端执行connect（)时。

将触发三次握手。

•第一次握手:客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口，以及初始序号X，保存在包头的序列号(Sequence Number）字段里。

•第二次握手：服务器发回确认包（ACK)应答.即SYN标志位和ACK标志位均为1同时，将确认序号(Acknowledgement Number)设置为客户的I S N加1以。

即X+1。

•第三次握手.客户端再次发送确认包(ACK）SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1，放在确定字段中发送给对方.并且在数据段放写ISN的+1TCP 四次挥手TCP的连接的拆除需要发送四个包,因此称为四次挥手（four—way handshake）。

实验一网络连接抓包实验实验目的及要求:1）熟悉抓包工具wireshark, 掌握该软件的使用；2）加强TCP/IP协议结构认识, 根据抓获包尝试分析网络连接步骤；实验内容:1）启动wireshark, 熟悉软件各部分的功能和使用；打开邮箱、qq或其他网络应用软件, 进行抓包, 并根据抓获的数据分析网络连接的原理。

格式要求:根据实验报告格式填写各部分内容。

其中, 总结是针对实验过程中存在的问题或解决方法或者经验给出总结。

附：实验报告格式:实验名称一、实验目的1）熟悉抓包工具wireshark, 掌握该软件的使用；2）加强TCP/IP协议结构认识, 根据抓获包尝试分析网络连接步骤；二、实验步骤1.使用wireshark, 进行抓包, 并在抓的数据中, 找到成功三次握手的数据:2.TCP是主机对主机层的传输控制协议, 提供可靠的连接服务, 采用三次握手确认建立一个连接:位码即tcp标志位,有6种标示:SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急)Sequence number(顺序号码) Acknowledge number(确认号码)3.第一次握手: 主机A发送位码为syn＝1数据包到服务器, 主机B由SYN=1知道, A要求建立联机；4.第二次握手: 主机B收到请求后要确认联机信息, 向A发送ack number=(主机A的seq+1),syn=1,ack=15.第三次握手: 主机A收到后检查ack number是否正确, 即第一次发送的seq number+1,以及位码ack 是否为1, 若正确, 主机A会再发送ack number=(主机B的seq+1),ack=1, 主机B收到后确认seq值与ack=1则连接建立成功。

6.完成三次握手, 主机A与主机B开始传送数据。

网络抓包实验报告网络抓包实验报告一、实验目的网络抓包是一种常见的网络分析技术，通过截获和分析网络通信数据包，可以深入了解网络通信过程中的细节和问题。

本实验旨在通过抓包实践，掌握网络抓包的基本原理和操作方法，并能够利用抓包工具进行网络数据分析。

二、实验环境本次实验使用了一台运行Windows 10操作系统的电脑，并安装了Wireshark作为网络抓包工具。

Wireshark是一款开源的网络协议分析软件，可以截获并分析网络数据包。

三、实验步骤1. 安装Wireshark：从官方网站下载Wireshark安装包，并按照提示完成安装过程。

2. 打开Wireshark：双击Wireshark桌面图标，启动软件。

3. 选择网络接口：在Wireshark界面的主菜单中，点击“捕获”选项，选择要进行抓包的网络接口。

4. 开始抓包：点击“开始”按钮，Wireshark开始截获网络数据包。

5. 进行网络通信：在另一台电脑上进行网络通信，例如访问一个网站或发送电子邮件。

6. 停止抓包：在Wireshark界面的主菜单中，点击“停止”按钮，停止截获网络数据包。

7. 分析数据包：在Wireshark界面的数据包列表中，可以看到截获的网络数据包，点击其中的一条数据包，可以查看其详细信息。

四、实验结果与分析通过实验，我们成功截获了多个网络数据包，并进行了分析。

在分析过程中，我们发现了一些有趣的现象。

首先，我们观察到了HTTP通信中的明文传输问题。

在抓包过程中，我们截获了一些HTTP请求和响应的数据包，其中包含了网页的内容。

通过查看数据包的详细信息，我们发现这些数据包中的内容并没有进行加密处理，因此存在信息泄漏的风险。

这提醒我们在进行网络通信时，应尽量使用HTTPS等加密协议来保护数据的安全性。

其次，我们还观察到了TCP连接的建立和断开过程。

在进行网络通信时，客户端和服务器之间需要建立TCP连接来传输数据。

通过分析数据包中的TCP协议头部信息，我们可以清晰地看到连接的建立过程，包括三次握手和连接的断开过程，包括四次挥手。

Wireshark抓包及分析实验学生姓名：学号：___________________任务分配日期：______________课程名称：计算机组网技术WireShark实验报告: 用Wireshark完成计算机网络协议分析报告开始时间: __________报告截至日期: ______________一．实验的目的本次实验的目的就是要学会wireshark抓包软件的基本使用方法，wireshark抓包的基本过程，以及对所抓到的数据包进行详细的分析并能很好的李杰一些基本的数据的含义。

能达到对网络数据的基本的监控和查询的能力。

实验一802.3协议分析和以太网（一）实验目的1、分析802.3协议2、熟悉以太网帧的格式、了解ARP、ICMP、IP数据包格式实验步骤：1、捕获并分析以太帧（1）清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。

如下图（2）启动WireShark，开始分组捕获。

（3）在浏览器的地址栏中输入：/浏览器将显示华科大主页。

如下图所示：（4）停止分组捕获。

首先，找到你的主机向服务器发送的HTTP GET消息的Segment序号，以及服务器发送到你主机上的HTTP 响应消息的序号。

http的segement段序号是47 45 54如下图：由下图可以得到服务器发送到我主机上的http响应消息的序号是：由上图可知为44：1、你的主机的48位以太网地址(MAC地址)是多少？我的主机的mac地址是：2、目标MAC地址是服务器的MAC地址吗？如果不是，该地址是什么设备的MAC地址？不是服务器的MAC地址；该地址是网关的地址。

3、给出Frame头部Type字段(2字节)的十六进制值。

十六进制的值是08 00如图所示：4、在包含“HTTP GET”的以太网帧中，字符“G”的位置(是第几个字节，假设Frame头部第一个字节的顺序为1)？如果frame得头部为顺序1，则“G”的位置为67。

Wireshark抓包分析实验实验Wireshark抓包分析实验⼀、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包2、了解IP数据包格式，能应⽤该软件分析数据包格式3、查看⼀个抓到的包的内容，并分析对应的IP数据包格式4、学会使⽤nslookup⼯具查询并分析Internet 域名信息或诊断DNS 服务器。

5、会⽤wireshark分析DNS协议。

对DNS协议有个全⾯的学习与了解。

⼆、实训器材1、接⼊Internet的计算机主机；2、抓包⼯具WireShark。

三、实验内容（⼀）IP包分析实验1、打开wireshark，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

2、设置完成后，点击“start”开始抓包，显⽰结果。

3、选择某⼀⾏抓包结果，双击查看此数据包具体结构。

4、查看IP数据报。

[1]写出IP数据报的格式。

[2]捕捉IP数据报的格式图例。

[3]记录IP数据报包的所有域，针对每⼀个域所代表的含义进⾏解释。

（⼆）DNS协议分析实验1、启动WireShark，并开始抓包。

2、在命令⾏运⾏nslookup 发现成都⼤学或其他单位官⽅DNS服务器。

nslookup /doc/cd9178b4f46527d3250ce03a.html /3、停⽌抓包4、显⽰过滤DNS包，查看其请求包和响应包的运输层协议是UDP 还是TCP，DNS请求包的⽬的端⼝及DNS响应包的源端⼝号分别是多少，DNS 请求包是发往哪个地址的，⽤ipconfig查看你的本地DNS服务器的IP地址，判断它们是否相同。

5、查看接下来你的主机发出的⼀些TCP SYN 包，其中的⽬的IP地址是否有刚才DNS应答包中的IP地址?Wireshark抓包分析实验报告⼀．实验⽬的1.了解并初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2.了解IP数据包格式，能应⽤该软件分析数据包格式。

3.查看⼀个抓到的包的内容，并分析对应的IP数据包格式。

实验五抓包分析实验——Iris的使用【实验目的】熟悉和掌握抓包工具Iris的使用；利用Iris进行网络抓包实验并做简单分析。

【预备知识】网络嗅探：以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相同的数据包。

这意味着计算机直接的通讯都是透明可见的。

正是因为这样的原因，以太网卡都构造了硬件的“过滤器”来忽略掉一切和自己无关的网络信息（事实上是忽略掉了与自身MAC地址不符合的信息）。

而网络嗅探程序利用了这个特点，它主动的关闭了过滤器，也就是设置了网卡“混杂模式”，此时，嗅探程序就能够接收到整个以太网内的网络数据信息，并加以分析。

通过对得到的数据包进行一定的分析，网络嗅探程序可能得到许多有价值的信息，包括机密数据，账户密码等，得到有用信息的难易程度，取决于许多因素，例如数据包的类型，加密程度等。

【实验环境】以一组同学为例PC1：Windows 2000 Professional＋SP2，IP地址为‘192.168.0.1’PC2：Windows 2000 Professional＋SP2，IP地址为‘192.168.0.2’PC3：Windows 2000 Server＋SP2，IP地址为‘192.168.0.3’其中PC2安装Iris进行抓包，PC1主要用来向PC3发包。

【实验工具】Iris.exe：Version 2.0 英文版；eEye公司；共享软件；网络嗅探工具，可以抓取并分析在共享式网络中传输的数据包，通过分析数据包可能得到许多有价值的信息，特别是帐户密码信息。

【实验过程与步骤】步骤一：配置Iris1．启动PC2上安装的Iris（如果是第一次使用，会提示你设置adapters，即软件所使用的网卡，如图6-1）图6-1 网卡设置2. Tools－>setting可做各项配置，选默认设置即可（如图6-2）。

图6-2 捕捉方式选项3. Filters－>Edit filter设置包过滤规则，可针对多种参数进行设置，选择抓取包的类（如图6-3）。

Wireshark抓包课堂实验用wireshark捕获和分析以太网帧一、实训目的熟识以太网帧的格式以及tcp协议二、实训环境虚拟机，wireshark软件、ie等软件。

三、实训内容1、arp分析实验步骤：1）打开两台虚拟机，pc1和pc22）登入pc1，去除arp内存3）启动wireshark，在界面中选择网络接口卡的类型，启动捕获4）回到命令提示符窗口，pingpc2的ip地址，停止捕获5）检查捕获的会话6）在filter工具条中，输出arp，按下enter，过滤器捕捉的会话，只表明arp数据包7）查阅arp内存中的内容思索：1)、写下你主机arp缓存中的内容。

描述每一列的含义是什么？2)、查阅你捕捉的arp数据包，涵盖arp命令报文的以太网帧的源地址和目的地址的十六进制值各就是多少？、3)、给出frame头部type字段的十六进制值。

4)、在arp报文中与否涵盖传送方的ip地址？5）、包含arp响应(reply)报文的以太网帧中，源地址和目的地址的十六进制值各是多少？第1页共3页1）开启两台虚拟机，pc1和pc22）登入pc1（windowsserver2021操作系统），构建并打开一个web服务器3）进占pc2（xp操作系统），启动wireshark，在界面中选择网络接口卡的类型，启动捕捉4）在pc2上，启动ie浏览器，输出pc1的ip地址，出访pc1的web站点5）暂停捕捉检验三次击掌，分析数据包思考：第2页共3页第3页共3页1)、以太frame的源mac地址就是多少？该地址就是你主机的mac地址吗？就是服务器的mac地址吗？如果不是，该地址就是什么设备的mac地址？2)、以太网帧的目的mac地址是多少？该地址是你主机的地址吗？3)、得出frame头部2-字节type字段的十六进制值。

第4页共3页第5页共3页。